¿Puede emitir una respuesta OCSP una subca de la CA raíz que ha emitido el certificado?

Navega tus respuestas
1

¿Es posible esta infraestructura de clave pública de acuerdo con el RFC 6960 Online Status Status Certificate - OCSP, Respondedores autorizados ?

La respuesta de OCSP para Cert se firma con un certificado emitido por Sub CA 2 .

Leyendo la especificación de la firma de un Servicio de respuesta autorizado

  
  1. Hace coincidir una configuración local de la autoridad de firma de OCSP para el certificado en cuestión, o
    2.   
  2. Es el certificado de la CA que emitió el certificado en cuestión, o
    3.   
  3. Incluye un valor de id-kp-OCSPSigning en una extensión de uso de clave extendida y es emitido por la CA que emitió el certificado en cuestión como se indicó anteriormente.
    4.   

No estoy seguro si este caso está permitido. Mi propia respuesta será NO , pero también está presente

  

Nota: Para compatibilidad con versiones anteriores con RFC 2560 [RFC2560], no es            Prohibido emitir un certificado para un Respondedor Autorizado            utilizando una clave de emisión diferente a la clave utilizada para emitir el            Certificado siendo revisado para su revocación. Sin embargo, tal            la práctica es fuertemente desaconsejada, ya que los clientes no son            requerido para reconocer a un respondedor con tal certificado como un            Respondedor Autorizado

    
pregunta pedrofb 09.01.2017 - 11:02
fuente

1 respuesta

2

Acabas de responder a tu pregunta, es posible (aunque, muy desanimado). Incluso los clientes conformes a RFC6960 deberían admitir este escenario.

Por ejemplo, Microsoft CryptoAPI permite este escenario, incluso cuando el certificado de firma OCSP se encadena a una raíz diferente (que debe ser de confianza) de forma predeterminada. Fuente: Novedades en la revocación de certificados en Windows Vista y Windows Server 2008

  

Windows Vista SP1 y Windows Server 2008 permiten que el certificado de firma de OCSP implementado por el respondedor de OCSP use un certificado que termina en una CA raíz diferente a la CA cuya información de revocación se informa en las respuestas de OCSP. Esta función permite a una organización con una PKI diversa limitar las fuentes de información de revocación y las CA que pueden emitir certificados de firma de OCSP.

Microsoft no es totalmente compatible con RFC2560 ni con RFC6960, porque dependen de su propio RFC5019 en respuesta a OCSP.

Esto significa que debe tener en cuenta los entornos de implementación y sus características específicas.

    
respondido por el Crypt32 09.01.2017 - 11:41
fuente

Lea otras preguntas en las etiquetas

¿Hay alguna preocupación con el envío y almacenamiento de cookies de terceros? ¿es posible evitar las puertas traseras de hardware? [cerrado]